Ryuk je jednou z najznámejších možností ransomvéru za posledných niekoľko rokov. Odkedy sa prvýkrát objavil v lete 2018, nazbieral , a to najmä v podnikateľskom prostredí, ktoré je hlavným cieľom jej útokov.
1. všeobecné informácie
Tento dokument obsahuje analýzu variantu ransomvéru Ryuk, ako aj zavádzača zodpovedného za načítanie malvéru do systému.
Ransomvér Ryuk sa prvýkrát objavil v lete 2018. Jedným z rozdielov medzi Ryukom a iným ransomware je to, že je zameraný na útoky na podnikové prostredia.
V polovici roku 2019 kyberzločinecké skupiny zaútočili na obrovské množstvo španielskych spoločností používajúcich tento ransomvér.
Ryža. 1: Výňatok z El Confidencial týkajúci sa útoku ransomvéru Ryuk [1]
Ryža. 2: Výňatok z El País o útoku vykonanom pomocou ransomvéru Ryuk [2]
Tento rok Ryuk zaútočil na veľké množstvo spoločností v rôznych krajinách. Ako môžete vidieť na nižšie uvedených číslach, najviac zasiahnuté boli Nemecko, Čína, Alžírsko a India.
Porovnaním počtu kybernetických útokov môžeme vidieť, že Ryuk zasiahol milióny používateľov a kompromitoval obrovské množstvo údajov, čo malo za následok vážne ekonomické straty.
Ryža. 3: Ilustrácia Ryukovej globálnej aktivity.
Ryža. 4: 16 krajín najviac postihnutých Ryukom
Ryža. 5: Počet používateľov napadnutých ransomvérom Ryuk (v miliónoch)
Podľa obvyklého princípu fungovania takýchto hrozieb tento ransomvér po dokončení šifrovania zobrazí obeti oznámenie o výkupnom, ktoré je potrebné zaplatiť v bitcoinoch na zadanú adresu, aby sa obnovil prístup k zašifrovaným súborom.
Tento malvér sa od svojho prvého uvedenia zmenil.
Variant tejto hrozby analyzovaný v tomto dokumente bol objavený počas pokusu o útok v januári 2020.
Kvôli svojej zložitosti sa tento malvér často pripisuje organizovaným skupinám kyberzločincov, známym aj ako skupiny APT.
Časť kódu Ryuk má nápadnú podobnosť s kódom a štruktúrou iného známeho ransomvéru Hermes, s ktorým zdieľajú množstvo identických funkcií. To je dôvod, prečo bol Ryuk spočiatku spojený so severokórejskou skupinou Lazarus, ktorá bola v tom čase podozrivá z toho, že stojí za ransomvérom Hermes.
Služba Falcon X spoločnosti CrowdStrike následne poznamenala, že Ryuk bol v skutočnosti vytvorený skupinou WIZARD SPIDER [4].
Existuje niekoľko dôkazov na podporu tohto predpokladu. Po prvé, tento ransomvér bol inzerovaný na webovej stránke exploit.in, ktorá je známym ruským trhom so škodlivým softvérom a už predtým bola spájaná s niektorými ruskými skupinami APT.
Táto skutočnosť vylučuje teóriu, že Ryuk mohol byť vyvinutý skupinou Lazarus APT, pretože nezhoduje sa so spôsobom fungovania skupiny.
Okrem toho bol Ryuk inzerovaný ako ransomvér, ktorý nebude fungovať na ruských, ukrajinských a bieloruských systémoch. Toto správanie je určené funkciou, ktorá sa nachádza v niektorých verziách Ryuk, kde kontroluje jazyk systému, na ktorom je spustený ransomvér, a zastaví jeho spustenie, ak má systém ruský, ukrajinský alebo bieloruský jazyk. Nakoniec odborná analýza stroja, ktorý bol hacknutý tímom WIZARD SPIDER, odhalila niekoľko „artefaktov“, ktoré boli údajne použité pri vývoji Ryuku ako variantu Hermes ransomware.
Na druhej strane odborníci Gabriela Nicolao a Luciano Martins naznačili, že ransomvér mohol byť vyvinutý skupinou APT CryptoTech [5].
Vyplýva to zo skutočnosti, že niekoľko mesiacov pred objavením sa Ryuka táto skupina zverejnila na fóre tej istej stránky informáciu, že vyvinula novú verziu Hermes ransomware.
Niekoľko používateľov fóra sa pýtalo, či CryptoTech skutočne vytvoril Ryuka. Skupina sa potom bránila a uviedla, že má dôkazy, že vyvinula 100 % ransomvéru.
2. Charakteristika
Začneme bootloaderom, ktorého úlohou je identifikovať systém, na ktorom sa nachádza, aby bolo možné spustiť „správnu“ verziu ransomvéru Ryuk.
Hodnota hash bootloadera je nasledovná:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Jednou z vlastností tohto sťahovača je, že neobsahuje žiadne metadáta, t.j. Tvorcovia tohto malvéru doň nezahrnuli žiadne informácie.
Niekedy obsahujú chybné údaje, aby oklamali používateľa, aby si myslel, že prevádzkuje legitímnu aplikáciu. Ako však uvidíme neskôr, ak infekcia nezahŕňa interakciu používateľa (ako je to v prípade tohto ransomvéru), útočníci nepovažujú za potrebné používať metadáta.
Ryža. 6: Vzorové metaúdaje
Ukážka bola skompilovaná v 32-bitovom formáte, takže môže bežať na 32-bitových aj 64-bitových systémoch.
3. Vektor penetrácie
Vzorka, ktorá sťahuje a spúšťa Ryuk, vstúpila do nášho systému cez vzdialené pripojenie a prístupové parametre boli získané prostredníctvom predbežného RDP útoku.
Ryža. 7: Register útokov
Útočníkovi sa podarilo prihlásiť do systému na diaľku. Potom vytvoril spustiteľný súbor s našou vzorkou.
Tento spustiteľný súbor bol pred spustením zablokovaný antivírusovým riešením.
Ryža. 8: Zámok vzoru
Ryža. 9: Zámok vzoru
Keď bol škodlivý súbor zablokovaný, útočník sa pokúsil stiahnuť zašifrovanú verziu spustiteľného súboru, ktorý bol tiež zablokovaný.
Ryža. 10: Sada vzoriek, ktoré sa útočník pokúsil spustiť
Nakoniec sa pokúsil stiahnuť ďalší škodlivý súbor cez šifrovanú konzolu
PowerShell na obídenie antivírusovej ochrany. Ale bol tiež zablokovaný.
Ryža. 11: PowerShell so zablokovaným škodlivým obsahom
Ryža. 12: PowerShell so zablokovaným škodlivým obsahom
4. Nakladač
Keď sa spustí, zapíše do priečinka súbor ReadMe % Temp%, čo je pre Ryuka typické. Tento súbor je výkupné, ktoré obsahuje e-mailovú adresu v doméne protonmail, ktorá je v tejto rodine škodlivého softvéru pomerne bežná: [chránené e-mailom]
Ryža. 13: Dopyt po výkupnom
Keď je bootloader spustený, môžete vidieť, že spúšťa niekoľko spustiteľných súborov s náhodnými názvami. Sú uložené v skrytom priečinku VEREJNÉ, ale ak táto možnosť nie je v operačnom systéme aktívna "Zobraziť skryté súbory a priečinky", potom zostanú skryté. Okrem toho sú tieto súbory 64-bitové, na rozdiel od rodičovského súboru, ktorý je 32-bitový.
Ryža. 14: Spustiteľné súbory spustené ukážkou
Ako môžete vidieť na obrázku vyššie, Ryuk spúšťa icacls.exe, ktorý bude slúžiť na úpravu všetkých ACL (Access control list), čím sa zabezpečí prístup a úprava príznakov.
Všetkým používateľom získa úplný prístup ku všetkým súborom na zariadení (/T) bez ohľadu na chyby (/C) a bez zobrazenia akýchkoľvek správ (/Q).
Ryža. 15: Parametre vykonávania icacls.exe spusteného vzorkou
Je dôležité poznamenať, že Ryuk kontroluje, ktorú verziu systému Windows používate. Pre toto on
vykoná kontrolu verzie pomocou GetVersionExW, v ktorom kontroluje hodnotu príznaku lpVersionInformationoznačujúce, či je aktuálna verzia systému Windows novšia ako windows XP.
V závislosti od toho, či používate novšiu verziu ako Windows XP, zavádzač zapíše do priečinka lokálneho používateľa – v tomto prípade do priečinka %Public%.
Ryža. 17: Kontrola verzie operačného systému
Zapísaný súbor je Ryuk. Potom ho spustí a odovzdá svoju vlastnú adresu ako parameter.
Ryža. 18: Vykonajte Ryuka cez ShellExecute
Prvá vec, ktorú Ryuk urobí, je prijatie vstupných parametrov. Tentoraz existujú dva vstupné parametre (samotný spustiteľný súbor a adresa dropper), ktoré sa používajú na odstránenie jeho vlastných stôp.
Ryža. 19: Vytvorenie procesu
Môžete tiež vidieť, že akonáhle spustí svoje spustiteľné súbory, vymaže sa, čím nezanechá žiadnu stopu svojej vlastnej prítomnosti v priečinku, kde bol spustený.
Ryža. 20: Vymazanie súboru
5. RYUK
5.1 Prítomnosť
Ryuk, podobne ako iný malvér, sa snaží zostať v systéme čo najdlhšie. Ako je uvedené vyššie, jedným zo spôsobov, ako dosiahnuť tento cieľ, je tajne vytvárať a spúšťať spustiteľné súbory. Najbežnejšou praxou je zmeniť kľúč databázy Registry CurrentVersionRun.
V tomto prípade môžete vidieť, že na tento účel sa spustí prvý súbor VWjRF.exe
(názov súboru je vygenerovaný náhodne) sa spustí cmd.exe.
Ryža. 21: Spustenie VWjRF.exe
Potom zadajte príkaz RUN S menom"svchos". Ak teda chcete kedykoľvek skontrolovať kľúče registra, môžete túto zmenu ľahko prehliadnuť, vzhľadom na podobnosť tohto názvu so svchost. Vďaka tomuto kľúču Ryuk zabezpečuje svoju prítomnosť v systéme. Ak systém nemá ešte bol infikovaný , potom keď reštartujete systém, spustiteľný súbor sa pokúsi znova.
Ryža. 22: Vzorka zabezpečuje prítomnosť v kľúči databázy Registry
Môžeme tiež vidieť, že tento spustiteľný súbor zastaví dve služby:
"audioendpointbuilder“, ktorý, ako už názov napovedá, zodpovedá systémovému zvuku,
Ryža. 23: Ukážka zastaví službu systémového zvuku
и Samss, čo je služba vedenia účtu. Zastavenie týchto dvoch služieb je pre Ryuka charakteristické. V tomto prípade, ak je systém pripojený k systému SIEM, ransomvér sa pokúsi zastaviť odosielanie akékoľvek upozornenia. Týmto spôsobom chráni svoje ďalšie kroky, pretože niektoré služby SAM nebudú môcť po vykonaní Ryuka správne spustiť svoju prácu.
Ryža. 24: Ukážka zastaví službu Samss
5.2 Oprávnenia
Všeobecne povedané, Ryuk začína pohybom laterálne v rámci siete alebo je spustený iným malvérom ako napr alebo , ktorá v prípade eskalácie privilégií prenesie tieto zvýšené práva na ransomvér.
Predtým, ako predohru procesu implementácie, vidíme, že proces vykonáva Vydať sa za seba, čo znamená, že bezpečnostný obsah prístupového tokenu bude odovzdaný do streamu, kde bude okamžite získaný pomocou GetCurrentThread.
Ryža. 25: Call ImpersonateSelf
Potom vidíme, že priradí prístupový token k vláknu. Tiež vidíme, že jedna z vlajok je DesiredAccess, ktorý možno použiť na ovládanie prístupu, ktorý bude mať vlákno. V tomto prípade by mala byť hodnota, ktorú dostane edx TOKEN_ALL_ACESS alebo inak - TOKEN_WRITE.
Ryža. 26: Vytvorenie tokenu toku
Potom použije SeDebugPrivilege a zavolá na získanie povolení na ladenie vo vlákne, čo bude mať za následok PROCESS_ALL_ACCESS, bude mať prístup k akémukoľvek požadovanému procesu. Teraz, vzhľadom na to, že šifrovač už má pripravený stream, zostáva už len prejsť do poslednej fázy.
Ryža. 27: Volanie funkcie SeDebugPrivilege a funkcie eskalácie privilégií
Na jednej strane máme LookupPrivilegeValueW, ktorý nám poskytuje potrebné informácie o privilégiách, ktoré chceme zvýšiť.
Ryža. 28: Požiadajte o informácie o privilégiách na eskaláciu privilégií
Na druhej strane máme AdjustTokenPrivileges, čo nám umožňuje získať potrebné práva na náš stream. V tomto prípade je najdôležitejšia vec NewState, ktorej vlajka bude udeľovať privilégiá.
Ryža. 29: Nastavenie povolení pre token
5.3 Implementácia
V tejto časti ukážeme, ako vzorka vykonáva proces implementácie uvedený vyššie v tejto správe.
Hlavným cieľom procesu implementácie, ako aj eskalácie, je získať prístup k tieňové kópie. Na to potrebuje pracovať s vláknom s vyššími právami ako má lokálny používateľ. Keď získa takéto zvýšené práva, odstráni kópie a vykoná zmeny v iných procesoch, aby sa znemožnil návrat k predchádzajúcemu bodu obnovenia v operačnom systéme.
Ako je typické pre tento typ malvéru, používa CreateToolHelp32Snapshottakže urobí snímku aktuálne spustených procesov a pokúsi sa k týmto procesom pristupovať pomocou OpenProcess. Keď získa prístup k procesu, otvorí aj token so svojimi informáciami, aby získal parametre procesu.
Ryža. 30: Preberanie procesov z počítača
Môžeme dynamicky vidieť, ako získava zoznam spustených procesov v rutine 140002D9C pomocou CreateToolhelp32Snapshot. Po ich prijatí prechádza zoznamom a pokúša sa otvárať procesy jeden po druhom pomocou OpenProcess, kým neuspeje. V tomto prípade bol prvý proces, ktorý dokázal otvoriť "taskhost.exe".
Ryža. 31: Dynamicky vykonajte procedúru na získanie procesu
Vidíme, že následne načíta informácie o procesnom tokene, takže zavolá OpenProcessToken s parametrom "20008"
Ryža. 32: Čítanie informácií o symbole procesu
Tiež kontroluje, či proces, do ktorého bude vstreknutý, nie je Csrss.exe, explorer.exe, lsaas.exe alebo že má súbor práv orgán NT.
Ryža. 33: Vylúčené procesy
Môžeme dynamicky vidieť, ako najprv vykoná kontrolu pomocou informácií o procesnom tokene 140002D9C s cieľom zistiť, či účet, ktorého práva sa používajú na vykonanie procesu, je účtom NT ORGÁN.
Ryža. 34: Kontrola NT AUTHORITY
A neskôr, mimo procedúry, skontroluje, že to tak nie je csrss.exe, explorer.exe alebo lsaas.exe.
Ryža. 35: Kontrola NT AUTHORITY
Keď urobí snímku procesov, otvorí procesy a overí, že žiadny z nich nie je vylúčený, je pripravený zapísať do pamäte procesy, ktoré budú vložené.
Na tento účel si najprv vyhradí oblasť v pamäti (VirtualAllocEx), zapíše do nej (WriteProcessmemory) a vytvorí vlákno (CreateRemoteThread). Na prácu s týmito funkciami využíva PID vybraných procesov, ktoré predtým získal CreateToolhelp32Snapshot.
Ryža. 36: Kód na vloženie
Tu môžeme dynamicky sledovať, ako používa procesné PID na volanie funkcie VirtualAllocEx.
Ryža. 37: Zavolajte VirtualAllocEx
5.4 Šifrovanie
V tejto časti sa pozrieme na časť tejto ukážky so šifrovaním. Na nasledujúcom obrázku môžete vidieť dva podprogramy s názvom "LoadLibrary_EncodeString"A"Encode_Func“, ktoré sú zodpovedné za vykonanie postupu šifrovania.
Ryža. 38: Postupy šifrovania
Na začiatku môžeme vidieť, ako načítava reťazec, ktorý sa neskôr použije na deobfuskáciu všetkého, čo je potrebné: importy, DLL, príkazy, súbory a CSP.
Ryža. 39: Deobfuskačný obvod
Nasledujúci obrázok ukazuje prvý import, ktorý deobfuskuje v registri R4. LoadLibrary. Toto sa neskôr použije na načítanie požadovaných knižníc DLL. V registri R12 môžeme vidieť aj ďalší riadok, ktorý sa používa spolu s predchádzajúcim riadkom na vykonanie deobfuskácie.
Ryža. 40: Dynamická deobfuskácia
Pokračuje v sťahovaní príkazov, ktoré sa spustí neskôr, aby sa zakázali zálohy, body obnovenia a režimy bezpečného spustenia.
Ryža. 41: Načítanie príkazov
Potom načíta miesto, kde umiestni 3 súbory: Windows.bat, run.sct и štart.bat.
Ryža. 42: Umiestnenie súborov
Tieto 3 súbory sa používajú na kontrolu privilégií, ktoré má každé umiestnenie. Ak požadované privilégiá nie sú k dispozícii, Ryuk zastaví vykonávanie.
Pokračuje v načítavaní riadkov zodpovedajúcich trom súborom. Najprv, DECRYPT_INFORMATION.html, obsahuje informácie potrebné na obnovenie súborov. po druhé, VEREJNÉ, obsahuje verejný kľúč RSA.
Ryža. 43: Riadok DEKRYPTOVAŤ INFORMÁCIE.html
po tretie, UNIQUE_ID_DO_NOT_REMOVE, obsahuje šifrovaný kľúč, ktorý sa použije v ďalšej rutine na vykonanie šifrovania.
Ryža. 44: Riadok UNIQUE ID NEODSTRAŇUJTE
Nakoniec stiahne požadované knižnice spolu s požadovanými importmi a CSP (Microsoft Enhanced RSA и Poskytovateľ kryptografie AES).
Ryža. 45: Načítavanie knižníc
Po dokončení všetkej deobfuskácie pokračuje vo vykonávaní akcií potrebných na šifrovanie: vymenovanie všetkých logických jednotiek, spustenie toho, čo bolo načítané v predchádzajúcej rutine, posilnenie prítomnosti v systéme, zrušenie súboru RyukReadMe.html, šifrovanie, vymenovanie všetkých sieťových jednotiek , prechod na detekované zariadenia a ich šifrovanie.
Všetko to začína načítaním"cmd.exe“ a záznamy verejného kľúča RSA.
Ryža. 46: Príprava na šifrovanie
Potom využíva všetky logické jednotky GetLogicalDrives a zakáže všetky zálohy, body obnovenia a režimy bezpečného spustenia.
Ryža. 47: Deaktivácia nástrojov obnovy
Potom posilní svoju prítomnosť v systéme, ako sme videli vyššie, a zapíše prvý súbor RyukReadMe.html в TEMP.
Ryža. 48: Zverejnenie oznámenia o výkupnom
Na nasledujúcom obrázku môžete vidieť, ako vytvorí súbor, stiahne obsah a zapíše ho:
Ryža. 49: Načítanie a zápis obsahu súboru
Aby mohol vykonávať rovnaké akcie na všetkých zariadeniach, používa
"icacls.exe“, ako sme ukázali vyššie.
Ryža. 50: Použitie icalcls.exe
A nakoniec začne šifrovať súbory okrem „*.exe“, „*.dll“ súborov, systémových súborov a iných umiestnení špecifikovaných vo forme zašifrovanej bielej listiny. Na tento účel používa importy: CryptAcquireContextW (ak je špecifikované použitie AES a RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey atď. Tiež sa pokúša rozšíriť svoj dosah na objavené sieťové zariadenia pomocou WNetEnumResourceW a potom ich zašifrovať.
Ryža. 51: Šifrovanie systémových súborov
6. Importy a zodpovedajúce príznaky
Nižšie je uvedená tabuľka so zoznamom najrelevantnejších dovozov a príznakov použitých vo vzorke:
7. MOV
referencie
- usersPublicrun.sct
- Ponuka ŠtartProgramyStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Technickú správu o ransomvéri Ryuk zostavili odborníci z antivírusového laboratória PandaLabs.
8. Odkazy
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publikované dňa 04. 11. 2019.
2. “Un de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019
3. „Papier VB2019: Shinigamiho pomsta: dlhý chvost malvéru Ryuk.“ https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. „Lov veľkých hier s Ryukom: Ďalší lukratívne cielený ransomvér.“ https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, zverejnené 10.
5. „Papier VB2019: Shinigamiho pomsta: dlhý chvost malvéru Ryuk.“ https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Zdroj: hab.com